Cyfirma’nın ayrıntılı bir raporuna göre, mobil güvenlik için önemli bir tehdit olarak ortaya çıktı.
Bu yüksek riskli kötü amaçlı yazılım, enfekte olmuş cihazlar üzerinde tam kontrolü ele geçirmek için gelişmiş kaçırma, kalıcılık ve gözetim tekniklerini kullanır.
Keylog’tan bankacılık uygulama korumalarını atlamaya kadar çeşitli yeteneklerle, GhostSpy kişisel gizlilik ve finansal güvenlik için ciddi bir risk oluşturmaktadır.
.png
)
Çok aşamalı enfeksiyon süreci ve gizli taktikleri, hem bireysel kullanıcılar hem de kurumsal güvenlik ekipleri için zorlu bir zorluk haline getiriyor.
Android güvenliği için sofistike bir tehdit
GhostSpy, kullanıcı etkileşimi olmadan ikincil bir yük olan “Update.Apk” yüklemek için Android’in erişilebilirlik hizmetlerini ve UI otomasyonunu kullanan aldatıcı bir damlaçı APK ile saldırısına başlar.
Tıklamaları simüle ederek ve izin diyaloglarını atlayarak, kötü amaçlı yazılım otomatik grants, telefon durumu, SMS, çağrı günlükleri, kamera, mikrofon ve hatta cihaz yönetici haklarına erişim dahil kapsamlı ayrıcalıkların kendisi.
Gömüldükten sonra, komut ve kontrol (C2) sunucularına kalıcı bir bağlantı kurar ve gerçek zamanlı veri hırsızlığı ve uzak cihaz manipülasyonunu sağlar.
Arsenal, iskelet görüntüleme yöntemleri kullanarak güvenli bankacılık uygulamalarının kullanıcı arayüzünü yeniden yapılandırarak ekran yakalama, ses ve video kaydı, GPS izleme ve SMS müdahalesini içerir.
Ghostspy’nin ölümcül cephaneliğini açma
Kötü amaçlı yazılımların kalıcılığı eşit derecede endişe vericidir. GhostSpy, kaldırma girişimleri için sistem kullanıcı arayüzünü izleyerek ve kullanıcıları kaldırmayı terk etmek için sindirmek için sahte uyarı diyaloglarını kaplayarak sistem kullanıcı arayüzünü kullanır.
Etkinliklerini gizlemek için tam ekran kaplamalarından yararlanır ve tespitten kaçınmak için şifreli kodu kullanır.
Ayrıca, casusluk, parola, OTP’ler ve Authenticator uygulamalarından 2FA kodları gibi hassas hassas verilere sahiptir ve aynı zamanda kişisel dosyaları, kişileri ve çağrı günlüklerini de çalır.
Stealth gibi alanlar dahil olmak üzere C2 altyapısına kötü amaçlı yazılım bağlantısı[.]GSTPAINEL[.]37 gibi eğlenceli ve ip adresleri[.]60[.]233[.]14, ilgili telgraf ve YouTube kanallarında gözlenen kültürel ve dil bağları göz önüne alındığında, muhtemelen Brezilya’da bulunan tehdit aktörleri tarafından aktif bakım gösteren kanıtlarla sürekli pessfiltrasyon ve kontrolü kolaylaştırır.
Cyfirma raporuna göre, bu sofistike gerginliğin uzun vadeli erişimi sürdürme ve geleneksel kaldırma yöntemlerine direnme yeteneği, sağlam savunmalar için aciliyetin altını çiziyor.
Güvenlik uzmanları, riskleri azaltmak için katı uygulama beyaz listesi, mobil tehdit savunma (MTD) çözümleri ve düzenli işletim sistemi güncellemeleri önermektedir.
Şüpheli erişilebilirlik hizmeti kullanımı için yan yükleme ve izleme konusunda kullanıcı eğitimi de kritiktir.
Ghostspy gelişmeye devam ettikçe, uzlaşma göstergelerini (IOC’ler) tehdit istihbarat beslemelerine entegre etmek ve davranışsal analiz araçlarını dağıtmak bu yaygın tehdidi tespit etmek ve nötralize etmek için gerekli olacaktır.
Uzlaşma Göstergeleri (IOCS)
| Sn | Göstergeler | Tip | Bağlam |
|---|---|---|---|
| 1 | E9f2f6e47e071ed2a0df5c7e787b2512ba8a601e5c91ab49ea837fd7a0fc85 | Apk | Delen APK |
| 2 | 73e647287408b2d40f53791b8a387a2f7b6b1ba1926276e032bf283354cc4 | Apk | Yük apk |
| 3 | HTTPS[:]// gizli[.]GSTPAINEL[.]eğlence | Url | C2-exfiltration |
| 4 | 37[.]60[.]233[.]14 | Ivır zıvır | C2-exfiltration |
| 5 | HTTPS[:]// gstTrust[.]org | Url | C2-exfiltration |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!